指南关注Kubernetes平台的攻防研究。从攻击者的角度追踪现实世界中的使用和出现过的用法，详细描述初始访问--> 执行--> 持久化--> 权限提升--> 防御绕过--> 凭据窃取--> 探测--> 横向移动--> 影响等9类不同战术，并将9类战术中常用的65种技术进行了深入探讨。

指南中整理的Kubernetes ATT&CK攻防矩阵主要包含以下内容：

• 凭证泄漏
• Kubeconfig文件
• 使用恶意镜像
• 存在漏洞的应用程序
• 暴露的敏感接口

• 创建后门容器
• 在已有权限的容器中植入后门
• Kubernetes 定时任务
• 在自定义镜像中植入后门
• 修改安全配置
• 部署 Shadow API Server
• 创建和已有 Pod名称相似的Pod

• 利用特权容器提权
• 为普通用户添加高权限
• 为 EKS 添加高权限角色
• 使用容器里挂载的敏感目录逃逸到宿主机
• 利用内核漏洞逃逸到宿主机
• 利用 Docker 漏洞逃逸
• 利用 Kubernetes漏洞进行提权
• 通过泄露的凭证信息提权

• 容器日志清理
• Kubernetes event日志清理
• 部署 Shadow API Server
• 通过匿名网络访问
• 修改请求来源的 UA 头
• 禁用安全产品
• 创建和已有 Pod 名称相似的 Pod
• Kubernetes 审计日志绕过
• 在云厂商监控区域外进行攻击

指南图文并茂展示了真实的攻击场景，详细介绍了攻击者利用Kubernetes组件漏洞、配置错误进行攻击的手法。

本指南参考OWASP Kubernetes Top Ten从防御方的视角描述了漏洞、配置错误两大类风险。

配置不当风险包括以下八个方面的内容：

• IaC检测-工作负载配置不当
• 基线检测-集群组件配置不当
• RBAC配置检测
• 缺失网络隔离控制
• 缺失日志和监控
• 缺失集中策略执行
• 缺失机密管理
• 身份验证机制不健全

漏洞风险包含以下两方面内容：

• 身份验证机制不健全
• 供应链漏洞

指南从攻防双方视角分析了针对各种弱点的攻击手法以及防御手段。通过每种风险的刨析，解释了采用何种手段可有效降低风险提高攻击方的攻击成本。

指南中介绍了4个Kubernetes领域安全开源项目。分别是Kubebench、OPA、CDK、Trivy。文章详细介绍了每种安全开源项目工作原理、使用方法。通过对以上安全开源项目介绍，为读者在Kubernetes运营阶段使用工具提供了参考。应用场景和优秀开源项目的介绍，有助于推动Kubernetes安全技术的进一步发展，提高应对多种安全事件的能力。

CCSK（Certificate of Cloud Security Knowledge）云安全知识认证，是国际权威组织云安全联盟于2011年发布的认证项目，旨在为全球范围内的专业人士提供标准化的云安全知识体系。被译成六国语言，在全球广泛推广，被誉为“云计算安全认证之母”。

作为云计算领域面向个人的首个全球安全认证，全面覆盖了云安全的关键知识点，成为了云安全领域的个人认证基准。云安全从业者通过获取CCSK认证，证明其体系化的掌握了云安全架构、云安全治理、云应用安全、云数据安全、云安全运营等方面的知识，也具备云安全规划、安全选云、安全上云、安全用云等方面的能力。

CCSK 学员对象：

首席安全官CSO、首席技术官CTO、首席产品官CPO、首席市场官CMO、产品经理、技术架构师、方案架构师、开发人员、测试人员、项目经理、方案经理、交付经理、业务运营人员、技术运维人员、市场分析人员、安全服务人员等。